Sécurité des mobiles : le pire est-il devant nous ?

Selon une récente étude commanditée par McAfee sur les risques liés à l’utilisation des PDA, des téléphones mobiles et des ordinateurs portables, tous ces terminaux sont fragiles. Info ou intox?

Une entreprise sur deux admet que ces terminaux sans fil ont été à l’origine de diverses infections (principalement virales). Et près de 9 entreprises européennes sur 10 reconnaissent connecter de tels appareils à leurs réseaux. Et les chiffres parlent d’eux-mêmes, c’est au niveau de la lutte menée pour éviter le pire : seuls 17% des personnes interrogées avouent tenter de lutter contre ce phénomène. Pourtant, il suffit d’une seule connexion « vérolée » effectuée dans l’enceinte du périmètre de défense de l’entreprise (c’est-à-dire en-deça du coupe-feu) pour que la sécurité du réseau soit compromise. Ce maigre 17% est d’autant plus inexplicable qu’en France plus des deux tiers des entreprises admettent que la mobilité a constitué une menace significative vis-à-vis de leur activité, 100% d’entre elles admettant d’ailleurs que ces appareils sont à l’origine d’environ 25% des infections virales subies. Toutefois, nous ne sommes pas les pires dans ce classement du plus mauvais élève. En Italie, 60% des entreprises avouent que leurs systèmes mobiles ne sont pas sécurisés, mais ne voient là aucune menace significative, pire en Espagne ou plus des deux tiers des entreprises n’imaginent même pas que la mobilité puisse impacter négativement le réseau de l’entreprise. Pourtant les faits sont là, selon l’étude DTI réalisée au Royaume-Uni ou d’après les chiffres du Computer Security Institute, le coût de virus et des vers atteint au niveau mondial plusieurs milliards de dollars par an. Alors, comment expliquer pareille indifférence ? Il faut peut-être la rechercher dans le comportement même de l’individu. Tout comme Monsieur Jourdain, les hommes se créent tantôt des possibles, des impossibles et des non-possibles. S’il faut en croire l’article « Comment les dirigeants décident-ils » paru le 21 octobre dernier dans les colonnes de notre confrère

Les Echos, ce processus est à la fois personnel et collectif, permanent et totalement inconscient. Nous réfléchissons, analysons les situations, rêvons à l’intérieur de nos possibles et impossibles, et refusons catégoriquement d’envisager les faits qui rentrent pour nous dans la catégorie des non-possibles. Non possible les attentats du 11 septembre, non possible la dangerosité de nitrate d’ammonium en plein Toulouse, la liste serait trop longue… C’est donc dans cette catégorie qu’il faut hélas ranger les risques liés à la mobilité tels que les envisagent la plupart des directions d’entreprise. Le réveil risque donc d’être brutal. À moins que l’on prenne enfin au sérieux ce problème et admettant une bonne fois pour toutes qu’aucun système de sécurité n’est universel, encore moins exhaustif. Prendre en compte les risques engendrés par les systèmes mobiles a d’ailleurs un autre avantage, il évite de s’endormir sur le rôti et permet d’ores et déjà de mettre en place des mesures de prévention (peut-être a minima, mais au pays des aveugles, les borgnes seront rois). Reste à découvrir une solution adaptée qui gère aussi bien la définition des patchs à distribuer sur les portables que l’application que l’on envisage de donner aux règles de sécurité définies pour des systèmes qui sont tout sauf fixes, loin de là. Et là, selon nous, mieux commencer par définir une adaptation de la politique de sécurité propre aux mobiles et dresser en premier lieu les quelques commandements de la sécurité mobile avant de s’engager dans l’achat de produits (pas toujours adaptés, pas forcément nécessaires) tant il est encore plus vrai ici qu’ailleurs qu’il vaut mieux réfléchir avant d’acheter. Mobiles : les tables de la loi

I Sur ton mobile point de porno tu ne regarderas. Face aux nombreux vers exploitant dorénavant les jpeg, il vaut mieux être prudent. II Par distribution régulière, les patchs à jour tu mettras? Notamment au niveau de l’antivirus et de la liste noire des adresses e-mails, lorsque l’on dispose d’un filtre antispam. III À un proxy systématiquement ton portable tu connecteras. Pas question de plugger directement l’engin sur le réseau, sauf si l’utilisateur peut garantir qu’il n’a servi qu’à des fins professionnelles et qu’il n’a pas surfé à ses moments libres. IV À distance, via un VPN à l’entreprise tu te connecteras. Cela tombe sous le sens, mais le nombre de moyennes entreprises qui continuent à s’envoyer des mails en clair est proprement hallucinant. V Si nécessaire, un système d’authentification forte tu emploieras. Un mot de passe cela se vole, se scanne ou se change. Une clé USB ou une carte à puce cela peut se voler, mais il est rare que le code Pin soit marqué au feutre rouge sur ces supports.